Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Уязвимость CVE-2024-7344 позволяет хакерам устанавливать буткиты даже при включённой защите Secure Boot

20/01/25

hack62

Проблема затрагивает приложение, подписанное Microsoft, и используется в ряде инструментов для восстановления системы от сторонних разработчиков.

Буткиты представляют серьёзную угрозу безопасности, так как их действия начинаются ещё до загрузки операционной системы. Они также могут выживать после переустановки ОС, что делает их труднообнаружимыми. Проблема связана с использованием уязвимого PE-загрузчика, который позволяет загружать произвольные UEFI-бинарные файлы, игнорируя проверку их подписи, пишет Securitylab.

Исследователи ESET выявили, что приложение использует нестандартный метод загрузки, вручную расшифровывая и загружая бинарные данные из файла «cloak.dat». Этот процесс обхода проверки безопасности может быть использован злоумышленниками, чтобы подменить загрузчик ОС и внедрить вредоносный файл в EFI-разделе.

Уязвимость затрагивает приложения для восстановления системы, резервного копирования и управления дисками. Среди пострадавших продуктов названы:

  • Howyar SysReturn до версии 10.2.023_20240919,
  • Greenware GreenGuard до версии 10.2.023-20240927,
  • Radix SmartRecovery до версии 11.2.023-20240927,
  • Sanfong EZ-back System до версии 10.3.024-20241127,
  • WASAY eRecoveryRX до версии 8.4.022-20241127,
  • CES NeoImpact до версии 10.1.024-20241127,
  • SignalComputer HDD King до версии 10.3.021-20241127.

Важно отметить, что CVE-2024-7344 может быть использована даже при отсутствии указанных приложений на устройстве. Достаточно разместить уязвимый бинарный файл «reloader.efi» и вредоносный «cloak.dat».

Microsoft выпустила исправление для этой уязвимости в январском обновлении 2025 года. Сертификаты уязвимых приложений были аннулированы, что блокирует их выполнение. Обновление применяется пользователям Windows автоматически. ESET также предоставила команды PowerShell для проверки успешного применения защиты.

Эксперты советуют как можно быстрее обновить ОС, а также указанные приложения (в случае их использования) до последних версий, чтобы исключить любые возможность для атаки.

Темы:MicrosoftУгрозыESET
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...